Void Dokkaebi kampány a fejlesztők ellen
A Trend Micro elemzés egy Void Dokkaebi (Famous Chollima) nevű, észak-koreai kötődésű fenyegető csoport kampányát mutatja be, amely fejlesztőket céloz meg, és a kompromittációt szoftverfejlesztési workflow-kon keresztül skálázza ellátási lánc szintre.
A támadás kiindulópontja pszichológiai megtévesztés. A támadók kriptovaluta- vagy AI-cégek toborzóinak adják ki magukat, és hamis állásinterjúk során arra veszik rá a célpontokat, hogy kódrepositorykat klónozzanak és futtassanak tesztfeladatként. A fertőzés tehát nem exploiton, hanem fejlesztői környezetben végrehajtott legitimnek tűnő műveleten keresztül történik.
A kompromittáció nem áll meg az endpoint szinten, a kutatás szerint a támadók fertőzött repositorykat használnak malware terjesztésére, amelyek beépülhetnek szervezeti kódbázisokba, CI/CD pipeline-okba vagy nyílt forráskódú projektekbe. Ez lehetővé teszi, hogy egyetlen fejlesztő kompromittálása továbbterjedjen a teljes fejlesztési és disztribúciós láncon, klasszikus supply chain támadássá alakulva.
A csoport kifejezetten olyan fejlesztőket céloz, akik hozzáférnek kriptotárcákhoz, aláíró kulcsokhoz vagy build infrastruktúrához, így a kompromittáció közvetlen pénzügyi vagy stratégiai értékkel bír. A támadás ezzel egyesíti a pénzügyi motivációt és az ipari kémkedés elemeit.
A kezdeti hozzáférés után a malware a fejlesztői környezeten belül fut, majd képes további komponensek letöltésére, perzisztenciára és potenciálisan CI/CD rendszereken keresztüli laterális terjedésre. A repository-alapú terjesztés különösen hatékony, mert a kódmegosztási platformok alapvetően megbízható környezetnek számítanak, így a fertőzés nehezen észlelhető.
